如何使用ASHX處理程序進行正確的身份驗證

Question

我正在使用ASP.NET的通用處理程序（ASHX文件）製作可將數據返回到移動應用程序等的服務器端頁面。這些數據中的一部分是私密的。截至目前，我正在使用JSON & POST方法。

但是，任何人都可以訪問一個客戶端代碼（例如移動應用的代碼），將能夠看到哪些關鍵字有發送到「不可預知」的網址，以便進行更改或得到數據。

我已經做了好幾個小時的研究，但沒有找到驗證了一個發送JSON請求確實是經過批准的移動應用程序以適當方式。

發送請求到服務器AJAX的實施例：

function login() 
{ 
    var jsonParam = { name: "test", aname: "secret", pass: "1234", type: "login" } 
    $.ajax({ 
     url: "AppDatabase.ashx", 
     type: "post", 
     data: JSON.stringify(jsonParam), 
     dataType: "json", 
     contentType: 'application/json; charset=utf-8', 
     async:false, 
     success: function (response) { 
      alert(response.userEmail); 
     }, 
     error: function(XMLHttpRequest, textStatus, errorThrown) { 
      alert("Status: " + textStatus + "\r\n" + "Error: " + errorThrown); 
     }  
    }); 
} 

接收在服務器端的請求的示例：

public void ProcessRequest (HttpContext context) { 
    context.Response.ContentType = "application/json"; 
    JavaScriptSerializer jss = new JavaScriptSerializer(); 

    context.Request.InputStream.Position = 0; 
    string json; 
    using (var reader = new StreamReader(context.Request.InputStream)) 
    { 
     json = reader.ReadToEnd(); 
    } 

    Dictionary<string, object> dict = jss.Deserialize<Dictionary<string, object>>(json); 

    if(dict["aname"].ToString() == "secret") 
    { 
     // The best security I have right now is a "secret keyword" within the request 
    } 
} 

Answer 1

您當前的方式是非常危險的。

您可以使用需要用戶名&密碼進行身份驗證另一頁（爲前。使用Session），然後讓客戶端請求您的ashx文件和你的ASHX應檢查Session進行身份驗證。

Answer 2

只是一個想法：

都是客戶端（如移動應用）「你們的」，或者這是否意味着某種API（對於x客戶端）？

無論哪種方式，也許值得看看JWT？這個想法是「有效載荷」（數據）是，簽名爲（例如HMAC SHA-256）並且具有對「重放」的保護。

這樣，你不只是看auth部分 - re：兩端都需要驗證數據，所以兩者都可以確保這些數據來自「正確的來源」並且（仍然）有效。

Hth ...